« ご近所探索~地蔵通り商店街 | トップページ | 納豆とパスタ »

2009年1月13日 (火)

IX2015とIX2010を使った、IPSec with NAT-TによるVPN

MEDIO write:

 やっとキムチチゲ鍋が空になった。最後は1.5人前程度残っていた鍋に、計画的に昨晩残した1膳分のご飯を投入、溶き卵で閉め....忘れていたのは、「ご飯は煮ると膨れる」ってこと。

 出来上がったのは、ラーメンどんぶり1.5杯分の雑炊。汗だくになりながら食べました。(^^;

 今日の夕飯。

 キムチチゲ鍋 残り \226 ×1.5人前

 卵 一個 \36

 計 \375

 

 さて、少し真面目に。

 秋葉原で買い付けたIX2010と、会社の間のIPSec-VPNが繋がった。これで仕事の効率が上がる....ん?

Fga

 会社側のインターネット接続には、VoIP-GWのVG2300Rを使用している。そして他の事務所や管理職何人か(と私の家)とはIX2015を使いFletsGroupAccess網で接続されている。

 という訳で、インターネット網に直接繋がっているのはVGなので、IX2015はNATの向こうにあることになる。

 ここでP2Pやってる人は「ポートを開けりゃ、いいじゃん」とか言いそうだ。けど、ところが。

 最低限の通信の秘匿化としてIPSecで通信したい場合、このIPSecのパケットには「ポート」という考えが無い。というか、その下層であるTCPやUDPですら無い。(この辺り、いくらでも書いてあるサイトがあるので、説明は割愛) ポートを開けたくても、開けたいポートが判らない訳である。

 それに、こちらは賃貸のマンスリーマンション。ルータの中が設定出来る権限なんて無いのである。

 

 じゃあ絶対ダメかというと、IPSec自体の実装をしているメーカーやら偉い人なんかが、いろいろ搦め手を考えている。その一つがNAT-T。

 簡単に言うと、IPSecのパケットをUDPのパケットとして(ヘッダを付けて)、NAT(この場合、ブロードバンドルータね)をすり抜けさせよう、という仕組み。

 

 まぁ問題なのはその実装方法で、メーカーごとにNAT-Tのやりかたが違ってたりして、(ただでさえIPSec自体、メーカー依存の様なところがあるのに)同一メーカー・シリーズのルータでないと繋がらなかったりする。

 今回、新機種が出て投げ売りされている中古のYAMAHAのRTでなくNECのIXにしたのも、そういう訳だったりする。

 とりあえず、Configを。まずマンスリーマンションのIX2010側。

! NEC Portable Internetwork Core Operating System Software
! IX Series IX2010 (magellan-sec) Software, Version 8.2.19, RELEASE SOFTWARE
! Compiled Jul 11-Fri-2008 10:49:00 JST #1
! Current time Jan 13-Tue-2009 22:37:45 JST
!
!
hostname ix2010-01
timezone +09 00
!
!
!
username administrator password plain BANDAINAMCO administrator
!
!
!
ntp ip enable
ntp server 適当に
ntp interval 3600
!
!
!
logging buffered 65535
!
!
ip route default 192.168.1.1 FastEthernet0/1.0
ip route 会社側のグローバルIP/32 192.168.1.1 FastEthernet0/1.0
ip route 192.168.0.0/20 Tunnel9.0
ip dhcp enable
ip access-list list001 permit ip src any dest any
ip access-list management permit ip src any dest any
ip ufs-cache max-entries 20000
ip ufs-cache enable
!
!
!
ike proposal ike-prop encryption aes hash sha
!
ike policy ike-policy peer 会社側のグローバルIP key Moe-Moe-Miki-Chan mode aggressive ike-prop
ike keepalive ike-policy 10 3
ike local-id ike-policy keyid IDOLMASTER
ike suppress-dangling ike-policy
ike nat-traversal policy ike-policy
!
ipsec autokey-proposal auto-prop esp-aes esp-sha
!
ipsec autokey-map map001 list001 peer 会社側のグローバルIP auto-prop
ipsec local-id map001 172.16.100.0/24
ipsec remote-id map001 192.168.0.0/20
!
!
snmp-agent ip enable
snmp-agent ip community public management
!
!
!
!
proxy-dns ip enable
proxy-dns interface FastEthernet1/0.0 priority 150
proxy-dns server 192.168.1.1 priority 200
!
telnet-server ip enable
telnet-server ip access-list management
!
!
!
!
!
!
!
!
!
ip dhcp profile dhcp_main
  assignable-range 172.16.100.20 172.16.100.60
  subnet-mask 255.255.255.0
  dns-server 172.16.100.254
!
device FastEthernet0/0
!
device FastEthernet0/1
!
device FastEthernet1/0
!
interface FastEthernet0/0.0
  no ip address
  shutdown
!
interface FastEthernet0/1.0
  ip address 192.168.1.4/29
  ip napt enable
  ip napt static FastEthernet0/1.0 udp 4500
  no shutdown
!
interface FastEthernet1/0.0
  ip address 172.16.100.254/24
  ip dhcp binding dhcp_main
  no shutdown
!
interface Loopback0.0
  no ip address
!
interface Null0.0
  no ip address
!
interface AutoTunnel0.0
  no ip address
  shutdown
!
interface Tunnel9.0
  tunnel mode ipsec
  ip unnumbered FastEthernet1/0.0
  ipsec policy tunnel map001 pre-fragment out
  no shutdown

 この設定では、自分のPCは172.16.100.0/24の中になる。FE0/1のIPが、何故192.168.1.4/29かというと、「会社内のサーバと繋ぐ為」である。こうすることで、192.168.1.1~192.168.1.7以外の社内の機器とはトンネル通して通信できる訳です。(ホントは192.168.1.2とか設定したかったんだけど、何かが繋がってるので。DHCPスコープ覗いて空いているトコロはここしか無かったという訳)

 インターネットへは、NAPTを通って、そのままマンションのルータからの接続になる。

 対向の、会社側。こちらは要点だけ。

! NEC Portable Internetwork Core Operating System Software
! IX Series IX2010 (magellan-sec) Software, Version 8.3.8
, RELEASE SOFTWARE
! Compiled Nov 07-Fri-2008 10:58:12 JST #1
! Current time Jan 13-Tue-2009 23:16:53 JST
!
!
ip route default 192.168.1.254 FastEthernet1/0.0
ip route 172.16.100.0/24 Tunnel9.0
ip access-list list001 permit ip src any dest any
ip ufs-cache max-entries 20000
ip ufs-cache enable
!
!
!
ike proposal ike-prop encryption aes hash sha
!
ike policy ike-policy peer any key Moe-Moe-Miki-Chan mode aggressive ike-prop
ike commit-bit ike-policy
ike remote-id ike-policy keyid IDOLMASTER
ike nat-traversal policy ike-policy
!
ipsec autokey-proposal auto-prop esp-aes esp-sha
!
ipsec dynamic-map map001 list001 auto-prop ike ike-policy
ipsec local-id map001 192.168.0.0/20
ipsec remote-id map001 172.16.100.0/24
!
!
interface FastEthernet1/0.0
  ip address 192.168.1.1/24
  no shutdown
!
interface Tunnel9.0
  tunnel mode ipsec
  ip unnumbered FastEthernet1/0.0
  ipsec policy tunnel map001 pre-fragment out
  no shutdown

 これで、マンションの172.16.100.254と会社の192.168.1.1間でトンネルが繋がった。

 ※最低でも会社側のUDPポート4500番を、IX2015に向けて開けておく必要がある。

 

追記:パスワード、事前鍵等気にしないで下さい。

| |

« ご近所探索~地蔵通り商店街 | トップページ | 納豆とパスタ »

パソコン・インターネット」カテゴリの記事

コメント

ルータ越しのVPNがうまく張れず3日間悩んでおりましたが、こちらの記事を参考に構成することができました。
ありがとうございました!

投稿: Miura | 2021年1月26日 (火) 13時51分

コメントを書く



(ウェブ上には掲載しません)


コメントは記事投稿者が公開するまで表示されません。



« ご近所探索~地蔵通り商店街 | トップページ | 納豆とパスタ »